Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\VMwareService] 'Start' = '00000002'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\vkrkpc.exe
- <Имя диска съемного носителя>:\autorun.inf
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%WINDIR%\system\VMwareService.exe' = '%WINDIR%\system\VMwareService.exe:*:Enabled:Microsoft Enabled'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\ctfmon.exe' = '<SYSTEM32>\ctfmon.exe:*:Enabled:ipsec'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:ipsec'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
- Центр обеспечения безопасности (Security Center)
Создает и запускает на исполнение:
- %WINDIR%\system\VMwareService.exe
Запускает на исполнение:
- <SYSTEM32>\dumprep.exe 1132 -dm 7 7 %WINDIR%\PCHealth\ErrorRep\UserDumps\svchost.exe.20120627-191752-00.mdmp 16325836412033196
- %WINDIR%\explorer.exe
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
большое количество пользовательских процессов.
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'pediy06' WindowName: ''
- ClassName: 'GBDYLLO' WindowName: ''
- ClassName: 'OLLYDBG' WindowName: ''
обнаружения различных программ и игр:
- ClassName: 'MSNHiddenWindowClass' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- C:\autorun.inf
- C:\vcekv.exe
- %TEMP%\winugkd.exe
- %WINDIR%\system\VMwareService.exe
- <DRIVERS>\inlqn.sys
- %TEMP%\wingyijt.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\vkrkpc.exe
- C:\vcekv.exe
- %WINDIR%\system\VMwareService.exe
- C:\autorun.inf
Удаляет следующие файлы:
- %TEMP%\winugkd.exe
- %TEMP%\wingyijt.exe
- <DRIVERS>\inlqn.sys
Самоудаляется.
Сетевая активность:
Подключается к:
- '1.##cbf.in':11830
- '<IP-адрес в локальной сети>':139
- '<IP-адрес в локальной сети>':445
UDP:
- DNS ASK 1.##cbf.in
Другое:
Ищет следующие окна:
- ClassName: 'Proxy Desktop' WindowName: ''
- ClassName: 'AIM_CSignOnWnd' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
